Ao executar uma ligação simples LDAP, o AD não tenta corresponder o nome passado ao atributo sAMAccountName
sem nenhum sufixo. No entanto, ele poderia tentar encontrar uma correspondência com displayName
, que funcionou para você no primeiro teste (onde parecia uma correspondência com sAMAccountName
, porque os valores desses atributos eram os mesmos).
A descrição precisa das regras de correspondência de nomes usadas ao lidar com ligações simples LDAP pode ser encontrada na documentação da Microsoft: link
O uso de UPN é provavelmente mais confiável, porque displayName
pode conter algumas cadeias legíveis por humanos (por exemplo, nome completo de uma pessoa) e não é garantido que seja exclusivo. O formulário DOMAIN \ USERNAME também deve ser exclusivo, mas depende dos nomes de domínio NetBIOS, que são considerados obsoletos agora.